【編者按】利益相關(guān)：作者羅志宇，混跡 Opera 10年的 CTO， Opera 是 Chromium 安全組成員。

最近如果使用Chrome訪問(wèn)國(guó)內(nèi)的很多網(wǎng)站的時(shí)候，比如exmail.qq.com, 你可能會(huì)注意到這樣一個(gè)對(duì)話框：

這個(gè)是什么意思？訪問(wèn)鏈接沒(méi)有私密性嗎? 

我上個(gè)郵箱，連私密性都沒(méi)有了，那里面的照片應(yīng)該怎么辦，以前修電腦沒(méi)有私密性，現(xiàn)在連上網(wǎng)都沒(méi)有私密性，難道我又要紅了？

等等，這里好像有點(diǎn)不對(duì)， 網(wǎng)頁(yè)私密性到底是個(gè)啥，為啥會(huì)提醒我這個(gè)問(wèn)題，我不是已經(jīng)輸了密碼登錄了嘛？

事情要從頭說(shuō)起。

一、HTTPS (安全超文本協(xié)議）怎么來(lái)的？

1997 年 CERN發(fā)明HTTP 協(xié)議并用于萬(wàn)維網(wǎng)的時(shí)候，僅僅是為了在學(xué)術(shù)界內(nèi)部做一個(gè)共享數(shù)據(jù)的平臺(tái), 并沒(méi)有想到太多傳輸中的安全性。畢竟當(dāng)年網(wǎng)絡(luò)規(guī)模非常小，而計(jì)算機(jī)以及昂貴的網(wǎng)絡(luò)設(shè)備并不是每個(gè)人都可以買得起的。

他們當(dāng)然沒(méi)有料到之后萬(wàn)維網(wǎng)居然成了一個(gè)信息傳遞的通用平臺(tái)，一幫人甚至喪心病狂地在上面做起了Web電子郵箱、網(wǎng)絡(luò)銀行一類的服務(wù)。這類服務(wù)對(duì)安全性和私密性的要求都非常嚴(yán)格， 因?yàn)榛旧蠜](méi)有人希望自己的銀行密碼，私人的郵件在傳輸中被第三方看到。

所以問(wèn)題就來(lái)了， HTTP 是明文傳輸?shù)摹?HTTP倒是支持密碼認(rèn)證，只是不巧的是，密碼也是明文傳的。

針對(duì)這種情況，在網(wǎng)景一幫科學(xué)家，特別是 Dr. Taher Elgamal （號(hào)稱SSL 之父）的努力下， HTTPS 橫空出世了。 

HTTPS 里面，所有傳輸?shù)臄?shù)據(jù)都是加密過(guò)的，于是第三方無(wú)法在數(shù)據(jù)的傳輸過(guò)程中獲得任何有用的數(shù)據(jù)，數(shù)據(jù)傳輸中的私密性自然得到了保證。

至少當(dāng)初設(shè)計(jì)的目的是這樣子。

HTTPS 并非是一個(gè)全新的協(xié)議，其實(shí)是在 HTTP的 基礎(chǔ)上，加了 SSL （安全套接字）或者是后來(lái)的 TLS (傳輸安全協(xié)議)。 SSL/TLS 工作在 HTTP 之下, 負(fù)責(zé)加密所有傳輸?shù)臄?shù)據(jù)。

說(shuō)個(gè)題外話，當(dāng)時(shí)不僅僅是 HTTP，眾多的互聯(lián)網(wǎng)上層協(xié)議，即應(yīng)用層協(xié)議，STMP 電子郵件協(xié)議 一類，大多都是明文傳輸?shù)?。而移?dòng)互聯(lián)網(wǎng)或者其他網(wǎng)絡(luò)，都是基于一些標(biāo)準(zhǔn)的協(xié)議，就是TCP/IP協(xié)議簇。早期時(shí)候，這些協(xié)議是由互聯(lián)網(wǎng)領(lǐng)域?qū)＜衣?lián)合制定的，就像現(xiàn)在制定法律的過(guò)程一樣。而經(jīng)過(guò)實(shí)際的驗(yàn)證，其不嚴(yán)謹(jǐn)性漸漸被發(fā)現(xiàn)，于是人們?cè)诖饲暗幕A(chǔ)上進(jìn)行不斷更新，SSL/TLS就是這樣出來(lái)的。 SSL/TLS 由于是工作在TCP層和應(yīng)用層之間，它可以加密任何應(yīng)用層協(xié)議，包括STMP一類。 從這個(gè)角度說(shuō)來(lái)，網(wǎng)景對(duì)互聯(lián)網(wǎng)的貢獻(xiàn)其實(shí)是非常深遠(yuǎn)的。

HTTPS 使用非對(duì)稱算法交換密鑰，這個(gè)也是一個(gè)非常精巧的算法，有興趣的同學(xué)可以點(diǎn)擊這里了解下，號(hào)稱是20世紀(jì)最重要的算法之一。

HTTPS 除了解決加密問(wèn)題以外，還需要還解決另外一個(gè)問(wèn)題： 網(wǎng)站真實(shí)身份鑒別

比如，如果你上招行網(wǎng)站，你怎么知道你上的就是招商銀行網(wǎng)站而不是一個(gè)做得和招商銀行一模一樣的釣魚網(wǎng)站呢？

這個(gè)其實(shí)和現(xiàn)實(shí)生活中如何鑒定一個(gè)長(zhǎng)的像警察并且突然站到你面前要你交罰款的人是否是真正的人民警察是一個(gè)場(chǎng)景。

”警官證可以給我看看嗎，謝謝！“

HTTPS 用的是同一種方法，它要求每一個(gè)使用這個(gè)協(xié)議的網(wǎng)站從專業(yè)的第三方機(jī)構(gòu)申請(qǐng)一個(gè)數(shù)字證書，數(shù)字證書中包括網(wǎng)站的域名，所有者等等 （當(dāng)然也包括公鑰，這里不詳細(xì)展開協(xié)議細(xì)節(jié)了）。

這個(gè)數(shù)字證書其實(shí)就相當(dāng)于現(xiàn)實(shí)中的警官證。

在訪問(wèn)這個(gè)網(wǎng)站的時(shí)候?yàn)g覽器會(huì)對(duì)證書做一次檢查，而這個(gè)對(duì)話框，就是檢查的結(jié)果。

我們來(lái)看看這個(gè)對(duì)話框內(nèi)容是個(gè)什么鬼。

二、如何鑒別你是警察？因?yàn)榫僮C也有可能是假的。

第一個(gè)：

該網(wǎng)站的身份驗(yàn)證已經(jīng)通過(guò)GeoTrust SSL CA–G2的驗(yàn)證，但沒(méi)有公開審核記錄。該網(wǎng)站的安全設(shè)置已過(guò)期，可能導(dǎo)致日后的Chrome 版本無(wú)法安全訪問(wèn)該網(wǎng)站。

剛才有提到證書是由專業(yè)機(jī)構(gòu)頒發(fā)的，不過(guò)，

－ 專業(yè)機(jī)構(gòu)就沒(méi)有壞人了嘛。
－ 證書就不會(huì)被人偷嗎。
－ 專業(yè)機(jī)構(gòu)被騙了怎么辦。

事實(shí)上，荷蘭專業(yè)機(jī)構(gòu)(DigiNotar)甚至被入侵過(guò)一次， 丟了好幾百個(gè)證書，你可以自行腦補(bǔ)一下有人潛入公安部自己辦了幾百個(gè)警官證是一個(gè)多么壯觀的場(chǎng)景。

于是，IETF在2013年啟動(dòng)了一個(gè)叫做certificate-transparency的開源項(xiàng)目，把所有已知的合法證書做了一個(gè)白名單，瀏覽器在驗(yàn)證證書的時(shí)候同時(shí)也會(huì)去查看這個(gè)證書是不是在白名單里面。 如果不在的話，就會(huì)告知用戶這個(gè)證書找不到記錄，于是，有可能是假或者是被盜的證書。

但是，這里有一個(gè)致命的問(wèn)題：

到目前為止，這個(gè)還只是一個(gè)試驗(yàn)性項(xiàng)目，而這個(gè)世界上那么多的網(wǎng)站， 你白名單得過(guò)來(lái)嘛。

 （注意：已經(jīng)沒(méi)有警示標(biāo)志）

比如上圖所顯示的，其實(shí)也沒(méi)有審核紀(jì)錄，不過(guò)警告的標(biāo)示去掉了。說(shuō)明谷歌其實(shí)自己也知道目前白名單的覆蓋很差，一般找不到記錄，并不會(huì)加上確切的警告標(biāo)示。所以，目前你可以忽略它。

關(guān)鍵在第二個(gè)：

本網(wǎng)站采用較弱的安全配置（SHA-1簽名），所以你的連接可能不是私人的。

這個(gè)就比較有意思了。

還是那個(gè)警官證的問(wèn)題。 要搞一個(gè)警官證除了去偷/騙/潛入公安部自己做一個(gè)真的以外, 你還可以做個(gè)假的嘛。

對(duì)于數(shù)字證書來(lái)說(shuō)，最重要的鑒別真假的部分是數(shù)字簽名，而鑒于數(shù)字證書一般不小，不可能對(duì)每個(gè)字節(jié)都簽一次名，一般來(lái)說(shuō)是對(duì)數(shù)字證書的一個(gè)哈希值進(jìn)行簽名。

如果你不知道哈希值是什么，我給你打個(gè)比方。如果你是一個(gè)數(shù)字證書， 那你的照片就是你的哈希值。

它包含下面2個(gè)條件：

－ 通過(guò)合適的手段，可以從你產(chǎn)生你的照片， 但是沒(méi)法從照片產(chǎn)生你 。意思是，先有你，才能有照片。
－ 只有你可以精確的產(chǎn)生你的照片，別人都不行。你就是唯一的，你的特征是別人沒(méi)有的。

所以如果想檢查一個(gè)人的警官證，只需要看看照片能不能對(duì)上人(哈希值符合)，照片上面的騎縫章對(duì)不對(duì)(數(shù)字簽名)。但是這個(gè)騎縫章只需要蓋在照片上，而不需要蓋在警官兄的臉上。當(dāng)然我知道這個(gè)比喻或許會(huì)有學(xué)術(shù)上的不嚴(yán)謹(jǐn)性，不過(guò)這個(gè)是我目前能找到最容易理解的比喻之一了。

數(shù)字證書中， SHA-1就是一種常見的哈希算法。 可以像照相機(jī)一樣，給你的數(shù)字證書生成一個(gè)唯一值（照片）。

只是這個(gè)算法有一個(gè)問(wèn)題。 這個(gè)算法這個(gè)函數(shù)由于設(shè)計(jì)時(shí)間早，強(qiáng)度太差，導(dǎo)致有可能用兩個(gè)不同的數(shù)字證書可能會(huì)生成同樣一個(gè)值。

這個(gè)就像如果你有一個(gè)照身份照的照相機(jī)，不過(guò)這個(gè)神奇的照相機(jī)拍的太模糊，以致于通過(guò)特殊的設(shè)定，可以用另外一個(gè)人照出和真實(shí)警官一模一樣的照片。恭喜你，如果你發(fā)現(xiàn)了這個(gè)設(shè)定，你就可以大規(guī)模的制作套牌警官證了。

這種現(xiàn)象在哈希函數(shù)中被稱為是“碰撞”。

對(duì)于SHA-1 算法 如果要找到這個(gè)“特殊的設(shè)定”大概需要2的74次方個(gè)操作，（也有論文指出，只需要2的61次方個(gè)操作即可完成）  這個(gè)在SHA-1發(fā)明的時(shí)候是不可想象，不過(guò)其實(shí)在現(xiàn)在也是不可行的。只是按照現(xiàn)在計(jì)算機(jī)的發(fā)展速度 2018 年左右使用價(jià)格合適服務(wù)器集群理論上就可以破解（可以參考這里）：

”A collision attack is therefore well within the range of what an organized crime syndicate can practically budget by 2018, and a university research project by 2021?！?/span>

（”因此，在一個(gè)有組織犯罪集團(tuán)的范圍內(nèi)，一次碰撞攻擊的實(shí)際預(yù)算是2018，而一個(gè)大學(xué)的研究項(xiàng)目是2021“）

于是，Chrome 認(rèn)為使用SHA-1的哈希函數(shù)都是潛在不安全的，于是會(huì)對(duì)所有使用SHA-1的網(wǎng)站證書提出警告，督促所有使用SHA-1的網(wǎng)站換為SHA-2。

不過(guò)注意，僅僅是潛在不安全， 目前還沒(méi)有可行可靠的SHA-1碰撞算法出現(xiàn)。

所以，這些網(wǎng)站暫時(shí)是安全的，不過(guò)也希望站長(zhǎng)們多多提高安全意識(shí)，因?yàn)镾HA-1已經(jīng)非常接近可以被“破解”邊緣。很有可能會(huì)出現(xiàn)以上情況：被人找到碰撞算法或者說(shuō)被破解，從而制作虛假警官證。

如果要詳細(xì)的證書設(shè)置以去除這個(gè)警告的步驟，可以參考這里（點(diǎn)擊進(jìn)入鏈接）

因?yàn)楣ぷ髟颉獨(dú)W朋Opera是Chromium安全組成員，所以我對(duì)這個(gè)內(nèi)情比較了解。有興趣可以去看看討論組里面的撕逼貼, 截個(gè)屏放在這里： 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。